Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/11/2014
Syrian Electronic Army ataca sitios de noticias de todo el mundo
En las últimas horas, los sitios de diversos medios de comunicación importantes a nivel mundial resultaron comprometidos en contexto de un masivo ciberataque del Ejército Electrónico Sirio o Syrian Electronic Army (SEA).
Según leemos en WeLiveSecurity, entre los afectados se encuentran The Independent, The Daily Telegraph, The Sunday Times, The Sun, PC World, Chicago Tribune, Forbes, ABC, NBC, Clarín y Olé.
Como de costumbre, las repercusiones llegaron rápidamente a Twitter y la noticia comenzó a difundirse.
En vistas de que la lista de afectados incluye a Clarín y Olé, dos grandes diarios de Argentina, y el diario español ABC , comprobamos que no se trató de un ataque dirigido especialmente a países anglosajones. Ahora bien, ¿cuál es el denominador común entre las víctimas?
Según reporta The Register, se hicieron redirecciones DNS a través de Gigya, una herramienta que utilizan todos estos medios. Se trata de una plataforma de gestión identidad de clientes, que incluye productos para el registro personalizado, login social, administración de identidades y acceso (IAM), el almacenamiento, el perfil y la integración con servicios de marketing y plataformas de terceros.
¿En qué consistía el ataque? Tal como describe Clarín, cuando los usuarios accedían a los sitios comprometidos aparecía la leyenda “You’ve been hacked by the Syrian Electronic Army (SEA)” (“Has sido hackeado por el Ejército Electrónico Sirio”). Al hacer clic sobre el mensaje, se accedía a una imagen con el logo del SEA.
Según el matutino argentino, en Reino Unido las webs de The Independent, The Daily Telegraph, Evening Standard, The Sun o The Sunday Times han sido comprometidas. En Estados Unidos, algunas de las afectadas han sido Chicago Tribune, Forbes o CNBC, así como la Liga Nacional de Hockey estadounidense. Otras webs de otros puntos del mundo también han sido víctimas del ataque, como Al-Jazeera y en España, Abc y El Correo.
Ante el revuelo generado, Gigya publicó un comunicado en el que afirma:
Aproximadamente a las 06:45 AM EST identificamos fallas esporádicas en el acceso a nuestro servicio. Una investigación inicial ha revelado que hubo una brecha en nuestro registrador de dominios que resultó en el registro WHOIS de gigya.com modificado para que apunte a un servidor DNS diferente. Ese servidor DNS se había configurado para que el dominio CDN de Gigya (cdn.gigya.com) apunte a un servidor controlado por los hackers, donde sirvieron un archivo llamado “socialize.js” con una alerta diciendo que el sitio había sido hackeado por el Ejército Sirio Electrónico.
Para ser absolutamente claro: ni la plataforma de Gigya ni la información de ningún usuario, administrador u operación ha sido comprometida y nunca estuvo en riesgo de verse comprometida. Más bien, el ataque sólo sirvió otros archivos JavaScript en lugar de los servidos por Gigya.
Finalmente, el comunicado confirma que ya se ha solucionado el problema, pero que de igual forma en algunas ocasiones podría seguir habiendo errores en las próximas horas.
El SEA ha estado detrás de varios ataques en el último tiempo: en febrero, se adjudicó un ataque a eBay y PayPal por no proveer servicios en Siria, y en enero había sido el turno de la cadena CNN en Twitter y Facebook, y de Skype. En agosto de 2013 atentó contra la web del New York Times, y recordemos también que como ejército digital jugó un papel en el conflicto con Estados Unidos.
El Ejército Electrónico Sirio es un grupo de “piratas informáticos” supervisados por el régimen sirio Assad, que a través de ataques de spam, phishing, defacement, malware y Denegación de Servicio, se dirigen principalmente a grupos políticos de la oposición y sitios web occidentales, incluyendo las organizaciones de noticias y grupos de derechos humanos.